I Sistemi di Gestione per l’Intelligenza Artificiale (SGIA)

Poiché l’IA è una tecnologia di elaborazione delle informazioni, la sicurezza delle informazioni si applica in generale. Obiettivi come la sicurezza, la protezione, la privacy e l’impatto ambientale devono essere gestiti in modo olistico (…).

L’integrazione del sistema di gestione dell’IA con gli standard di gestione generici è pertanto essenziale per lo sviluppo e l’utilizzo responsabile di un sistema di IA.”

Questo passaggio tratto dall’Annex D della norma UNI CEI ISO/IEC 42001, sui sistemi di gestione dell’Intelligenza Artificiale, permette di fare alcune considerazioni interessanti, una volta precisato che:

• quando si parla di un “sistema di IA” non si fa riferimento al sistema di gestione certificabile (SGIA), ma alle applicazioni IA, al servizio - “prodotto” con IA;
• quando l’annex si riferisce a “standard di gestione generici” intende gli standard trasversali IA diversi settori produttivi, escludendo quelli specifici di particolari settori;
• la norma UNI CEI ISO/IEC 42001 “è applicabile a qualsiasi organizzazione che sviluppi, fornisca o usi prodotti o servizi che utilizzano un sistema di IA”. Per questo è potenzialmente applicabile in ogni settore;
• la norma ha come obiettivo quello di supportare le Organizzazioni nello svolgere in modo responsabile il proprio ruolo in relazione ai sistemi di IA, ruolo che può avere diverse declinazioni (quali ad esempio l’utilizzo, lo sviluppo o la fornitura di prodotti o servizi che utilizzano l'IA);
• la norma non fornisce indicazioni specifiche sui processi di gestione dei sistemi IA, ma suggerisce in modo esplicito la necessità di integrare il SGIA con i processi e la struttura gestionale complessiva dell'Organizzazione.
  
   

Come lo può fare?

In tutto il mondo e anche in Italia è diffusissima la certificazione secondo la norma UNI EN ISO 9001 (i numeri aggiornati li trovate qui: www.accredia.it/comunicazione/accrediahub/italia-1-in-europa-e-2-nel-mondo-per-i-sistemi-di-gestione-certificati/ ) sui Sistemi di gestione per la qualità, che per eccellenza ha uno sguardo allargato sulla governance dei processi operativi, sulla loro efficacia e efficienza, sulle prestazioni e il business. L’Annex D della ISO 42001 vi fa esplicito riferimento, sottolineandone prima i vantaggi strategici intrinseci, poi considerando che quei vantaggi potrebbero giovare a un SGIA qualora questo venisse “completato” con l’implementazione di un sistema di gestione della Qualità (SGQ).

“La valutazione indipendente della conformità alla ISO 9001 facilita gli affari tra le organizzazioni e ispira la fiducia dei clienti nei prodotti o nei servizi. Il livello di fiducia del cliente in un'organizzazione o in un sistema di IA può essere fortemente rafforzato se un sistema di gestione dell'IA viene implementato congiuntamente all'ISO 9001”.

Quanto si legge all’ultimo paragrafo dell’Annex D lascia pensare che implicitamente i normatori abbiano ritenuto per certi versi “obbligatoria” l’implementazione non solo integrata, ma contemporanea, delle due norme (anche se ovviamente nulla può essere considerato a rigore obbligatorio nell’ambito - volontaristico - delle norme ISO).

Integrazione con altre norme

Occorre notare poi come per lo sviluppo e utilizzo di un sistema di IA, sia fondamentale integrare il SGIA con altri sistemi di gestione, che, pur avendo altri obiettivi (altre ottiche), hanno la capacità di supportarlo, come fossero pilastri di sostegno ai suoi quattro lati; nell’annex D si citano espressamente gli obiettivi di sicurezza delle informazioni, della protezione, della privacy oltreché gli obiettivi di impatto ambientale.

La prima riflessione che ne consegue è che per alcuni di questi obiettivi il collegamento sembra più lineare che per altri: è infatti evidente che l’Information Security va garantita già per il semplice fatto che un sistema di IA si nutre di informazioni (e, in alcuni casi, anche di dati personali).  Pertanto, appare coerente l’integrazione (suggerita dalla norma stessa) con la UNI CEI EN ISO/IEC 27001 (Sistemi di gestione per la sicurezza delle informazioni) e la UNI CEI EN ISO/IEC 27701 (Sistema di gestione delle informazioni in ambito privacy).

Ciò che può risultare meno intuitivo a una prima lettura è invece il riferimento all’impatto ambientale; tuttavia, poiché è ormai chiaro quanto i sistemi di IA siano energivori, il loro impatto sull’ambiente va necessariamente considerato da un’Organizzazione che intenda implementare un SGIA in modo responsabile.

Bonus: da fine dicembre la norma #ISO/IEC22989 sui Concetti e la Terminologia dell’Intelligenza Artificiale è scaricabile gratuitamente direttamente dal sito ISO.ORG (https://lnkd.in/dwY2bVeK).